(推荐)WindowsServer2003IP安全策略

1、(推荐)windowsserver2003ip安全策略ip安全策略(1)使用 internet 协议安全 (ipsec) 为网络通信提供数据保密性、完整性、真实性和反重播保护： n使用 ipsec 传输模式提供客户机到服务器、服务器到服务器和客户机到客户机之间的端对端安全。 n使用受 ipsec 保护的第二层隧道协议 (l2tp) 保护从客户机到网关在 internet 上的远程访问的安全。 ip安全策略(2)由多条ipsec规则组成，每条规则包括:n筛选器列表 w筛选器列表包含一个或多个预定义数据包筛选器，这些筛选器描述为该规则而配置的筛选器操作适用的通信类型。n筛选器操作 w筛选器操作包含

2、与筛选器列表匹配的数据包所需的操作类型（允许、阻止或协商安全）。n验证方法wkerberos v5 协议、证书或预先共享密钥 n隧道终结点 w指定是否以隧道方式进行通信，如果是，则指定隧道终结点的 ip 地址。n连接类型 ip安全策略(3)默认ip安全策略n服务器(请求安全)nserver (request security)n客户端(仅响应)nclient (respond only)n安全服务器(要求安全)nsecure server (require security)ip安全策略(4)ip安全策略的应用仅适用于win2000以上系统active directory的ip安全策略本地计算

3、机的ip安全策略只能指派一条ip安全策略ip安全策略操作演示禁用icmp协议关闭139/445端口加密数据禁用139/445端口(1)smb(server message block) 用于文件和打印共享服务。windows2000以上操作系统中,smb除了基于nbt的实现，还通过445端口实现。n当client（win2000/xp/2003,允许nbt）连接smb服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送rst包给139端口断开连接，以445端口通讯。当445端口无响应时,才使用139端口。n当client（win2000/xp/2003,禁止nbt）连

4、接smb服务器时，那么它只会尝试连接445端口，如果无响应，那么连接失败。n如果win2000服务器允许nbt, 那么udp端口137、138, tcp 端口 139、445将开放。 如果 nbt 被禁止, 那么只有445端口开放。 禁用139/445端口(2)禁用139/445端口(3)禁用139/445端口(4)禁用139/445端口(5)禁用139/445端口(6)禁用139/445端口(7)禁用139/445端口(8)禁用139/445端口(9)禁用139/445端口(10)禁用139/445端口(11)禁用139/445端口(12)禁用139/445端口(13)禁用139/445端口

5、(14)禁用139/445端口(15)禁用139/445端口(16)禁用139/445端口(17)禁用139/445端口(18)禁用139/445端口(19)同样创建禁用445端口的“筛选器列表”和“筛选器操作”禁用139/445端口(20)禁用139/445端口(21)禁用139/445端口(22)禁用139/445端口(23)禁用139/445端口(24)在非域成员的计算机上，会出现图示警告，选是禁用139/445端口(25)禁用139/445端口(26)为ip安全策略创建安全规则禁用139/445端口(27)禁用139/445端口(28)禁用139/445端口(29)禁用139/445端口(30)禁用139/445端口(31)禁用139/445端口(32)如果选择编辑属性，点完成会出现下图。禁用139/445端口(33)上图选择编辑属性 才出现。禁用139/445端口(33)禁用139/445端口(34)同样创建禁用445端口的ip安全规则。禁用139/445端口(35)指派ip安全策略，即时生效禁用139/4